Sécurité
Un nouvel outil puissant pour la gestion des certificats
Kevin Dallmann
Vue d'ensemble:
- Architecture ILM-CM
- Administration et modèles
- Création d’un flux de travail
Vous travaillez tranquillement lorsque soudain vous recevez un appel de votre équipe de support technique : un certificat a expiré sur l’un de vos systèmes de production. Le système s’est arrêté, et votre entreprise perd de la productivité (et de l’argent) jusqu’à ce que vous renouveliez le certificat.
Si vous êtes chargé de gérer un environnement à infrastructure de clé publique (PKI), je suis certain que vous avez été surpris par l’expiration soudaine d’un certificat. Oubliez votre journée tranquille.
Lorsque Microsoft a ajouté les services PKI dans Windows® 2000 et Windows Server® 2003, les sociétés ont pu mettre en œuvre, à moindres coûts, leur propre environnement PKI interne. Malheureusement, les services PKI Microsoft® ne pouvaient pas gérer le cycle de vie des certificats générés. Cependant, Microsoft a récemment acquis un produit de gestion des certificats puis édité Identity Lifecycle Manager (ILM), qui associait la gestion des certificats aux fonctionnalités de fourniture et de contrôle d’identité de Microsoft® Identity Integration Server (MIIS). Cet article explique comment ILM peut aider à gérer les certificats et les cartes à puce pour votre organisation.
Architecture ILM-CM
Le noyau de l’architecture ILM Certificate Management (ILM-CM) est le serveur ILM-CM et ses composants associés (voir la figure 1). Le serveur ILM-CM peut être installé sur un serveur unique configuré pour créer une interface avec une ou plusieurs autorités de certification (CA). ILM-CM a besoin de SQL Server™, qui stocke les informations des certificats, les stratégies et autres données associées utilisées pour gérer votre environnement de certificats. Pour gérer les utilisateurs et les autorisations de sécurité, le serveur ILM-CM a également besoin d’Active Directory®. Voir la figure 2 pour les versions et les composants requis.
Figure 2 Prise en charge de l’infrastructure ILM-CM
| Composants | Versions |
| Active Directory | Windows Server 2003 |
| Serveur de base de données | SQL Server 2000 SP3 ou supérieur ou SQL Server 2005 |
| Autorité de certification | Windows Server 2003 Enterprise Edition ou Data Center Edition |
| SMTP | Serveur SMTP |
Figure 1** Architecture ILM-CM **
Une fois l’environnement ILM-CM entièrement installé, toutes les requêtes de certificat communiquent avec le serveur ILM-CM. Le serveur ILM-CM est chargé de stocker toutes les informations associées aux certificats dans la base de données de SQL Server, qui peuvent être utilisées pour la signalisation de certificats, les alertes et la gestion d’un environnement de flux de travail.
L’architecture logicielle ILM-CM comprend trois parties de haut niveau : le serveur ILM-CM, les plug-in CA et les composants côté client. Le logiciel serveur peut être installé et exécuté sur une CA ou sur un serveur principalement utilisé pour ILM-CM. Le serveur ILM-CM communique ensuite avec les CA, la base de données de SQL Server et Active Directory. Le serveur dispose également d’un portail Web utilisé par les gestionnaires de certificats pour configurer les stratégies de certificat et les flux de travail, et par les abonnés aux certificats pour demander et renouveler les certificats logiciels.
Pour que la CA communique avec le serveur ILM-CM, des modules de sortie et de stratégie ILM-CM doivent être installés et configurés sur chaque CA que vous voulez gérer. Ces deux modules servent à enregistrer les informations de certificat dans la base de données. Lorsqu’un certificat est émis par une CA, le module de sortie est chargé d’envoyer cette information au serveur ILM-CM, qui à son tour enregistre les informations de certificat dans la base de données.
Si vous avez l’intention de gérer des cartes à puce dans votre environnement, vous devez installer le logiciel client de carte à puce ILM-CM. Ce logiciel est nécessaire sur tout ordinateur client qui doit interagir avec le serveur ILM-CM.
Installation d’ILM-CM
L’installation du serveur ILM-CM est en fait assez simple : un assistant vous guide dans la procédure. Mais avant d’exécuter l’assistant, vous devez vous occuper de plusieurs fonctions de pré-installation.
La première chose dont ILM-CM a besoin est Active Directory et une extension de schéma ILM-CM. L’extension de schéma ajoute des attributs de sécurité Microsoft .NET Framework supplémentaires dont ILM-CM a besoin pour mettre en œuvre les modèles de profil.
Vous devez également installer .NET Framework 2.0, et les composants susmentionnés (SQL Server, CA et serveur SMTP) doivent également être en place. Si ILM-CM est installé sur un serveur séparé de la CA, vous devez installer les modules ILM-CM sur les CA en exécutant l’Assistant d’installation ILM-CM sur les CA. Une fois l’installation terminée, vous devriez pouvoir connecter le portail ILM-CM en indiquant http://hostname/CLM dans votre navigateur.
Pour permettre la notification d’expiration/de renouvellement de certificat, vous devez configurer le service ILM-CM sur le serveur ILM-CM. Commencez par créer un compte approprié dans Active Directory. Entrez dans les services ILM-CM et ajoutez ce compte comme compte d’ouverture de session. Ajoutez ensuite cet utilisateur aux administrateurs locaux et le groupe IIS_WPG dans le serveur ILM-CM, de même que le « Agir en tant que partie du système d'exploitation, Générer des audits de sécurité et Remplacer un jeton de niveau processus » en utilisant les stratégies de groupe. Une fois le service ILM-CM configuré, le serveur ILM-CM peut analyser la base de données de SQL Server à la recherche des certificats expirés et informe par courrier électronique les propriétaires ou gestionnaires de certificats.
Administration d’ILM-CM
ILM-CM est géré via une interface Web, divisée en zones fonctionnelles associées aux tâches de gestion des utilisateurs, des certificats et des cartes à puce. Une fois connecté au portail ILM-CM avec les privilèges d’administrateur appropriés, plusieurs tâches administratives vous permettant de gérer l’environnement ILM-CM (voir la figure 3) sont affichées. La section Tâches courantes comprend les options d’administration, y compris inscription d’utilisateurs à un nouveau jeu de certificats ou carte à puce. Vous pouvez également gérer et approuver des requêtes.
Figure 3** Tâches du portail de gestion ILM-CM **(Cliquer sur l'image pour l'agrandir)
Pour localiser des utilisateurs ou des certificats, utilisez la zone des tâches Manage Users and Certificates. Ces tâches vous permettent de chercher, récupérer, révoquer ou renouveler des certificats. Vous pouvez également chercher une liste de révocation.
Si votre organisation utilise des cartes à puce, la partie Manage User Smart Cards est pratique. Si, par exemple, un utilisateur a verrouillé sa carte, le gestionnaire de certificats peut la déverrouiller ici. Vous pouvez également chercher et afficher des cartes à puce dans le lecteur de cartes local.
La zone Requests de l’interface permet aux gestionnaires de certificats d’examiner et d’approuver les requêtes de certificat utilisateur. Par exemple, vous pouvez afficher tous les certificats contenus dans une requête en attente. La zone Administration permet de créer et de gérer les modèles de profil. Enfin, la zone Repors est utilisée pour développer et créer des rapports associés aux utilisateurs et certificats.
Lors de l’authentification au portail ILM-CM, si votre compte n’a pas de privilèges d’administrateur, une page d’abonné s’affiche et propose les fonctions de gestion libre-service à la disposition des utilisateurs de certificat (voir la figure 4). À partir de ce portail, les utilisateurs peuvent afficher et gérer leurs certificats et les cartes à puce en fonction de leur configuration de stratégie donnée. Les exemples de tâches courantes incluent demande de certificat ou de carte à puce, examen des certificats existants et modification des PIN de carte à puce.
Figure 4** Page de portail abonné pour la gestion libre de l’utilisateur **(Cliquer sur l'image pour l'agrandir)
Fournir un processus de flux de travail délégué de haute qualité pour émettre, renouveler, remplacer, révoquer et remplacer les certificats ou les cartes à puce peut être un défi pour toute organisation. Avec ILM-CM, vous pouvez désormais déléguer ces tâches pour mieux garantir la sécurité. Disons que vous avez un utilisateur qui a oublié son PIN de carte à puce. En utilisant le modèle de flux de travail délégué, l’utilisateur peut appeler le support technique qui lui posera quelques questions de vérification. En cas de réponse correcte à ces questions, le support technique peut débloquer la carte à puce pour l’utilisateur. Ou encore, le flux de travail délégué permet de récupérer un certificat Encrypted File System (EFS) en cas de suppression accidentelle ou de perte d’un portable.
Modèles de profil
Un modèle de profil est le composant fondamental qui rend possible un processus de gestion de flux de travail complet pour ILM-CM. Un modèle de profil est considéré être un objet administratif unique contenant un ou plusieurs modèles de certificat. Les modèles de profil sont créés et configurés pour gérer la façon dont le processus de flux de travail doit fonctionner dans votre environnement de certificat. L’élément clé d’un modèle de profil est qu’il peut contenir des modèles de certificat multiples pouvant être gérés comme un seul article, ce qui signifie que les utilisateurs peuvent être gérés par un modèle pouvant suivre le processus de certificat pendant tout son cycle de vie.
Les modèles de profil peuvent être configurés pour enregistrer les certificats sur un ordinateur (basé sur logiciel) ou sur une carte à puce (basé sur matériel). Vous pouvez créer ces modèles en dupliquant un échantillon à partir du portail d’administrateur ILM-CM. Dans le modèle de profil, vous pouvez définir plusieurs composants de stratégie de gestion (voir la figure 5).
Figure 5** Un modèle de profil **(Cliquer sur l'image pour l'agrandir)
De nombreux composants de stratégie sont applicables aux profils de logiciel et de carte à puce (voir la figure 6). Certains méritent un commentaire supplémentaire. Pendant le processus d’inscription du certificat, vous pouvez utiliser le composant de stratégie d’inscription pour définir certains critères concernant la façon dont vous souhaitez que le processus d’inscription se déroule. Par exemple, vous pouvez configurer une collecte de données, autrement dit l’utilisateur doit entrer des informations telles que codes de département, adresse de messagerie et gestionnaire. Vous pouvez également créer des définitions qui impriment automatiquement un document officiel lorsque l’utilisateur a inscrit un certificat.
Figure 6 Stratégies de profil logicielles
| Composant | Description |
| Détails du profil | Indique les détails généraux du modèle de profil. Permet d’ajouter un ou plusieurs modèles de certificat au modèle de profil. |
| Stratégie de duplication | Définit les entités de flux de travail d’un certificat existant. |
| Stratégie d’inscription | Définit le flux de travail du processus d’inscription. |
| Stratégie de mise à jour en ligne | Similaire à la stratégie de renouvellement, excepté qu’elle peut mettre à jour des certificats expirants, le contenu de certificat, les modèles et les applets de carte à puce. |
| Stratégie de « Récupération au nom de » | Récupère des certificats ou une clé privée de l’utilisateur. |
| Stratégie de renouvellement | Définit le flux de travail de renouvellement lorsqu’un certificat expire. |
| Stratégie de réactivation | Définit le processus pour réactiver un certificat. |
| Stratégie de récupération | Définit le flux de travail pour récupérer un certificat utilisateur stocké sur un ordinateur qui a été supprimé, reconstruit ou volé. |
| Stratégie de révocation | Définit le flux de travail pour révoquer tous les certificats dans un profil. |
La stratégie de mise à jour en ligne peut être très utile à votre organisation. Elle est similaire à la stratégie de renouvellement, excepté qu’elle peut mettre à jour le contenu du certificat, les modèles de certificat, les applets sur cartes à puce ainsi que le certificat lui-même lorsqu’il est sur le point d’expirer. Pour utiliser au mieux cette stratégie, vous devez activer le service ILM-CM et le fichier web.config pour autoriser l’accès à un attribut à plusieurs valeurs dans Active Directory. Vous devez également installer le service de mise à jour en ligne sur l’ordinateur client.
La stratégie de « Récupération au nom de » peut être pratique si votre société utilise le cryptage EFS. Supposons que quelqu’un supprime accidentellement son certificat de cryptage. Vous pouvez utiliser ce composant de stratégie pour configurer un flux de travail dans lequel l’équipe de sécurité de support technique demande la clé privée de l’utilisateur. L’utilisateur peut ensuite récupérer sa clé privée en recevant un message électronique avec un mot de passe secret généré par le serveur ILM-CM. Enfin, il se rend sur un lien Web secret sur le serveur ILM-CM pour récupérer le certificat avec ses clés privées associées. La stratégie de « Récupération au nom de » est également particulièrement utile lorsqu’un employé quitte l’organisation, et que ses données doivent être récupérées à des fins d’archivage, réglementaires ou autres.
Pour fournir un processus de renouvellement plus sécurisé, la stratégie de renouvellement vous permet de configurer et d’envoyer par message électronique la clé secrète à mot de passe à utilisation unique dont les utilisateurs ont besoin pour renouveler leurs certificats. Si vous révoquez un certificat puis voulez le réactiver et le supprimer de la Liste de révocation des certificats (CRL), la stratégie de réactivation peut définir ce processus de flux de travail.
Les deux composants de stratégie uniques (associés seulement aux stratégies de certificat de logiciel et pas avec les cartes à puce) sont la stratégie de récupération et la stratégie de révocation. Si un certificat utilisateur enregistré sur un ordinateur est supprimé ou si l’ordinateur lui-même est reconstruit ou volé, la stratégie de récupération peut définir le processus pour restaurer le certificat ou les clés en cas d’archivage sur la CA. La stratégie de révocation permet à l’administrateur de fixer une raison de révocation statique ou autorise la personne exécutant la requête de révocation à désigner la raison au moment de la révocation.
Il existe cinq stratégies supplémentaires de gestion qui sont spécifiques aux modèles de profil de carte à puce, comme illustré à la figure 7.
Figure 7 Stratégies de profil de carte à puce
| Composant | Description |
| Stratégie de remplacement | Définit le profil en cas de perte ou de vol d’une carte à puce de l’utilisateur. |
| Stratégie de désactivation | Définit le processus de désactivation de certificats sur une carte à puce avant leur expiration. |
| Stratégie de retrait | Définit le processus pour révoquer tous les certificats sur une carte à puce. |
| Stratégie de déblocage | Définit qui peut débloquer un PIN utilisateur de carte à puce. |
| Stratégie de cartes temporaires | Définit une carte à puce de remplacement à court terme. L’utilisateur reçoit de nouveaux certificats de signature mais peut déchiffrer leurs données en obtenant les certificats de chiffrement de profil existants. |
Vous pouvez définir plusieurs opérations différentes pour la stratégie de retrait, comme effacer les données utilisateur sur la carte à puce, bloquer les PIN utilisateur et administratif et réinitialiser le PIN administratif. La stratégie de déblocage est généralement utilisée si un utilisateur a oublié son PIN ou qu’une nouvelle carte a été expédiée avec un PIN attribué par ILM-CM. L’utilisateur demande ensuite que la carte à puce soit débloquée.
Comme avec tout produit administratif, les rapports sont une fonctionnalité très utile. La capacité à capturer un instantané de votre environnement de certificat ou carte à puce est très importante pour toute organisation. ILM-CM dispose de plusieurs rapports intégrés incluant inventaires de carte à puce, résumés de requête, usage et expiration de certificat, entre autres. Comme avec les autres systèmes de génération de rapports, si vous avez besoin de rapports supplémentaires, vous pouvez écrire une requête personnalisée puisque toutes les données sont enregistrées dans une base de données de SQL Server.
Développement d’un flux de travail
Voyons maintenant comment ILM-CM peut aider à définir un processus de flux de travail productif. Disons que vous avez plusieurs administrateurs systèmes qui sont responsables de gérer et maintenir les certificats SSL pour leurs systèmes. La première question à poser est : Quels sont les principaux aspects du processus ?
En fonction du type de système, le processus peut nécessiter des méthodes différentes pour créer le fichier de requête de certificat. Ainsi, la première tâche consiste à développer une page Intranet ayant des instructions détaillées sur la manière de créer la requête de certificat pour tous les systèmes.
Après que l’administrateur a créé le fichier de requête, il peut le soumettre au portail d’utilisateur ILM-CM pour l’approbation du certificat. En utilisant le processus de flux de travail ILM-CM, l’administrateur peut définir plusieurs approbateurs qui doivent vérifier et approuver une requête de certificat. Après qu’un certificat a été approuvé, l’utilisateur peut récupérer le certificat d’ILM-CM. Comme ILM-CM met les informations de certificat dans une base de données de SQL Server, les administrateurs peuvent récupérer les informations historiques.
Un an plus tard, lorsque le certificat approche de sa date d’expiration, ILM-CM envoie une notification par courrier électronique au demandeur, l’informant que le certificat est sur le point d’expirer et qu’il doit le renouveler. Mettre ce processus de flux de travail en place aide à éviter que les certificats expirent subitement et vous fassent passer une mauvaise journée.
Résumé
Si votre entreprise utilise un environnement Microsoft PKI, ILM-CM peut aider à le gérer. ILM-CM permet aux organisations d’améliorer les processus d’authentification de sécurité et de réduire les coûts et la complexité de la gestion des certificats numériques et des cartes à puce. ILM-CM est également la base pour développer les processus de flux de travail de certificat et de carte à puce qui font encore défaut à tellement d’entreprises.
Microsoft a également mis en œuvre une prise en charge API externe pour ILM-CM. Si votre organisation utilise des applications personnalisées, vous pouvez interfacer ces applications pour profiter de la prise en charge API ILM-CM.
Pour plus d’informations sur ILM-CM, voir microsoft.com/technet/clm. Un guide de démarrage rapide est également disponible (go.microsoft.com/fwlink/?LinkId=87336).
Kevin Dallmann est consultant-ingénieur système senior pour Accenture et il est principalement responsable de la prise en charge des environnements Active Directory et PKI pour les grandes entreprises. Kevin gère les certifications MCSE et MCT et dispense également des cours Microsoft.
© 2008 Microsoft Corporation et CMP Media, LLC. Tous droits réservés. Toute reproduction, totale ou partielle, est interdite sans autorisation préalable.